当前位置:首页 > 资讯中心

运营商超级APP互联网暴露面收敛案例分享

2023-07-242161次

随着移动化超级APP的广泛应用,很多企业将微应用/H5应用搬到超级APP里面,导致之前从内网访问的应用,变成了移动端可访问的小程序;这增加用户便捷性的同时,也给企业安全带来了安全隐患。

本期,虎符网络与大家分享其为某头部运营商办公超级APP所构建的零信任安全访问方案。方案通过在超级APP中集成零信任SDK,并结合零信任安全网关进行互联网暴露面收敛,确保只有可信用户和可信终端才能访问核心应用,实现在移动办公业务场景下构建可信身份网络。

超级APP带来的安全隐忧

超级APP指的是移动互联网中平台化的基础APP,除了提供APP自有的功能外,还可以利用其自身引擎来承载各类轻应用的运行,包括第三方的轻应用。

某头部运营商设计开发的SSB APP是一款用于内部员工移动办公的超级APP应用程序,除了提供远程办公接入服务外,还集成了很多第三方H5应用、IM消息服务、视频及语音服务等内部应用。该超级APP在互联网出口通过域名解析的方式对外提供服务,并基于不同应用域名路径将来自移动端的访问请求转发至对应的应用服务器上。本质上,这相当于将企业内网应用的服务端口直接暴露在互联网上,增大了攻击面。攻击者可以利用这些攻击面入侵承载内网应用的后端服务器,进而横向摆渡到整个企业内网,导致了极大的安全风险与隐患。


针对上述痛点,业主单位总结出以下核心安全诉求:

➢ 解决超级APP上各类H5微应用在移动办公场景下的接入安全、应用安全问题,以保证业务的连续性和数据的安全性。
➢ 赋予移动办公应用更全面的安全防护能力,减少来自外界的潜在攻击,形成紧密的安全访问闭环。

零信任SDK构建可信的虚拟身份网络

2023年年初,该运营商将虎符网络零信任方案引入到移动办公场景中,以保护内网核心应用的安全访问为目标来规划防护体系,通过在资源访问路径上建立访问控制点,收敛资源的攻击暴露面,降低安全风险,提升移动办公网络的整体安全水位。

虎符网络在该企业自建的超级APP中集成虎盾零信任SDK,结合零信任安全网关构建移动办公环境下的可信身份网络,将超级APP及第三方H5微应用全部收纳到运营商“虚拟身份内网”中,实现互联网暴露面收敛、终端和应用准入、灵活访问控制等安全目标。


在方案设计层面 ,通过在互联网边界部署零信任安全网关,收敛内网应用的互联网暴露面,同时保护超级APP应用自身及其挂载的内网H5服务。集成了虎盾零信任SDK的APP通过零信任网关实现了“先认证,后访问”的业务逻辑,只有通过授权的终端设备才可以通过零信任网关代理访问H5微应用,且整个访问过程都会被记录和审计。区别于传统方案,除了收敛应用后端服务暴露面外,也可以通过SPA单包敲门机制来收敛网关自身暴露面,做到端口隐藏,杜绝对网关设备端口扫描和暴力破解等攻击。

在方案落地过程中 ,简化了封装SDK接口类型,降低集成难度,采用了按需调用与关闭的业务逻辑,避免并发资源浪费同时也节省耗电量。

在用户体验方面,通过身份认证对接、用户认证信息同步和二次认证校验方式,超级APP集成的零信任SDK可以获取用户身份认证结果信息,并转发至零信任网关进行二次认证校验,实现了认证的自动化,认证全程终端用户几乎无感知。

更安全、更稳定、更高效的新体验

2023年年初,零信任SDK方案正式在运营商的生产网环境中投入使用,并已与业务部门主数据完成对接。目前总用户规模超万人,覆盖运营商的全体自有员工和外包员工。

当下,智能手机等移动终端设备正在将固定的办公模式转变为移动化、碎片化的办公模式,通过“零信任SDK+零信任安全网关”的模式将各类移动办公终端统一接入到整体零信任系统中,将零信任的覆盖范围由办公内网扩展至全网,可以在平衡安全性和用户体验的同时,有效解决移动办公所导致的多重安全问题。